O Wikileaks continua com a série de vazamentos da CIA e divulgou na sexta-feira (7) documentos que mostram o funcionamento do Grasshopper, uma ferramenta que a agência de inteligência utilizou para criar seus malwares para Windows. Os softwares maliciosos possuem até partes de códigos de um rootkit russo.

Os detalhes do Grasshopper estão espalhados em 27 documentos, alguns deles com mais de 100 páginas. Um dos manuais de usuário revela que era possível criar um instalador personalizado para cada pessoa monitorada, dependendo das informações que a agência queria coletar e dos softwares de segurança instalados na máquina.

Segundo os documentos, a agência fazia testes para descobrir em quais condições seus malwares eram detectados pelos antivírus, incluindo Kaspersky Internet Security, Symantec Endpoint, Rising e Microsoft Security Essentials. O Grasshopper permitia criar malwares que entrassem em ação somente em sistemas com antivírus específicos.

Um dos modos de execução aproveitava uma característica do Windows Update para infectar o sistema: a cada 22 horas (ou a cada reinicialização), mesmo se as atualizações automáticas estivessem desativadas, o Windows carregava uma série de arquivos, entre os quais estava o malware do Grasshopper. Esse malware era executado com permissões de sistema e rodava um processo para garantir que ele continuasse na máquina.

CIA malware “Grasshopper” re-installs itself every 22 hours by corrupting Windows Update–even if is disabled. https://t.co/NzCiyKkk6C pic.twitter.com/EhLy7QXeEq

— WikiLeaks (@wikileaks) 7 de abril de 2017

Para criar o “método de persistência”, técnica que mantém o malware instalado na máquina, a CIA pegou partes de um antigo rootkit. Segundo a própria agência, “os componentes foram retirados do malware conhecido como Carberp, um rootkit russo utilizado pelo crime organizado”. Ele era um malware bancário poderoso que chegou a ser vendido por US$ 40 mil no mercado negro e teve seu código-fonte vazado em 2013.

Não sabemos se a CIA ainda utiliza as mesmas ferramentas, mas o vazamento pode ser útil para que potenciais alvos da agência procurem por rastros do Grasshopper em seus sistemas. Todos os documentos estão disponíveis no site do Wikileaks.

Com informações: Ars Technica, The Next Web, Engadget, CSO.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Relacionados

Chaos é um malware que causa caos ao infectar Windows, Linux e roteadores
Chaos é um malware que causa caos ao infectar Windows, Linux e roteadores
O que é um crime cibernético? 3 casos populares
O que é um crime cibernético? 3 casos populares
O que é vírus? [e a diferença para malware]
O que é vírus? [e a diferença para malware]
Vários roteadores estão sob ataque do ZuoRAT, um malware novo e perigoso
Vários roteadores estão sob ataque do ZuoRAT, um malware novo e perigoso
Novo malware para atacar macOS pode tirar screenshots e roubar arquivos
Novo malware para atacar macOS pode tirar screenshots e roubar arquivos
Como se proteger contra o malware que infectou o CCleaner
Como se proteger contra o malware que infectou o CCleaner
Google processa golpistas que usam Bard falso para infectar computadores
Google processa golpistas que usam Bard falso para infectar computadores
Malware usa bug do Windows para criar tarefas ocultas no sistema
Malware usa bug do Windows para criar tarefas ocultas no sistema
FBI alerta para você não usar carregadores públicos de celulares
FBI alerta para você não usar carregadores públicos de celulares
Como recuperar arquivos encriptados por ransomware
Como recuperar arquivos encriptados por ransomware